Configuration de Cisco GET VPN - Meilleures pratiques / Le bouclage peut-il être utilisé?

Je suis en train de re-ip adresser un grand nombre d'emplacements distants, qui utilisent tous une configuration Cisco GET VPN / GDOI pour le chiffrement du trafic. Dans le processus, j'ai également voulu revoir la configuration pour m'assurer que nous suivions les meilleures pratiques.

J'ai consulté le guide de configuration et le guide de déploiement de Cisco GET VPN , mais je n'ai pas trouvé de bonne réponse à cette question:

Est-il recommandé d'utiliser une interface de bouclage ou physique comme interface de terminaison du trafic chiffré?

Actuellement, la configuration utilise l'interface physique Gig0 / 0 pour terminer le trafic chiffré. Cependant, pour simplifier certaines des autres modifications impliquées, je voudrais utiliser l'interface Loopback0 à cette fin. Sur la route, certains de ces sites recevraient des liaisons montantes redondantes, et je crois comprendre que je pourrais utiliser l'interface Loopback pour mettre fin aux deux connexions chiffrées.

Voici deux exemples, la configuration existante et la façon dont je comprends que je devrais configurer le routeur pour utiliser le Loopback. Je pense que je n'aurais qu'à ajouter la commande suivante au GM:

crypto map %MAPNAME local-address Loopback0

L'adresse GM devrait alors également être modifiée sur le serveur de clés; à ma connaissance, c'est le seul changement sur le KS.

Un échantillon de la configuration existante:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.125 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.44.2 255.255.255.248
 ip virtual-reassembly
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

Un exemple utilisant le bouclage comme interface de terminaison:

!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
 identity number 10
 server address ipv4 10.100.1.1
 server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP local-address Loopback0
crypto map CM-STATIC-MAP 10 gdoi 
 set group GDOI-MPLS-GROUP-10
!
interface Loopback0
 ip address 10.129.110.101 255.255.255.252
!
interface GigabitEthernet0/0
 description MPLS-Connection
 ip address 10.101.24.2 255.255.255.248
 ip tcp adjust-mss 1300
 duplex full
 speed 100
 no cdp enable
 crypto map CM-STATIC-MAP
!

Si vous prévoyez d'implémenter plusieurs liens dans le même groupe GDOI sur les GM, la meilleure pratique serait d'utiliser une interface de bouclage comme source de cryptage. La raison étant qu'autrement, les serveurs clés verront chaque interface comme une entrée distincte et le routeur recevra plusieurs clés. Votre deuxième configuration d'échantillon semble bonne.

Voir la section 4.1.2.1.3 du GETVPN DIG: http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6525/ps9370/ps7180/GETVPN_DIG_version_1_0_External.pdf

Voici un exemple de configuration GET VPN:

http://www.certvideos.com/get-vpn-configuration-example/